Tuesday, March 25, 2008

U3 Teknolojisi Kullanan USB Belleklerdeki Tehlike

Microsoft, XP ve ileriki sürüm Windows dağıtımlarında; çıkartılıp, takılabilen ve genellikle USB tipi belleklerdeki autorun (otomatik çalıştırma) özelliğinde kısıtlamalar yaptı. Yani; normal bir USB belleğe, CD/DVD’lerde uyguladığımız autorun özelliğini uygulayamıyoruz.

Autorun özelliği için, diskin root dizininde autorun.ini isimli, .ini uzantılı, text formatında bir dosya oluşturuluyor. Disk takıldığında, çalıştırılabilir uygulamanın otomatik başlayabilmesi için de bu dosyaya (autorun.ini) uygulamanın yolu yazılıyor.

Bu sistem, genellikle program ya da sürücü kurulum CD’lerinin, CD-ROM’a takılmasıyla beraber otomatik bir kurulumun başlatılması için kullanılıyor.

USB disklerde de autorun.inf oluşturmak mümkün ancak otomatik başlamasını istediğiniz diske siz çift tıklamadıkça otomatik başlamıyor. Fakat bu kısıtlamaya rağmen, USB belleklerle yayılan birçok virüs ortaya çıktı. Bu virüslerin arasında; Türk yapımı, Turkish Delight (activexdebugger32.exe) isminde, Visual Basic’le yazılmış ve Türkiye’de binlerce bilgisayara yayılmış bir kurtçuk da bulunuyor.

Ancak genelde bilinçli kullanıcılar, bilgisayarlarına bir USB bellek taktığında, sağ tıklama menüsündeki seçeneklerden Explorer (Araştır) seçeneğiyle USB diskin içine girdikleri için bu türde virüslerden etkilenmediler.

U3 LLC firması, USB bellek içindeki verilerin şifrelenmesi ve portable programların rahat bir şekilde, herhangi bir kurulum yapmadan, autorun (otomatik) çalışabilmesi için donanım tabanlı “U3 Smart Drive” adında, patentli bir teknoloji geliştirdi.

U3, bu teknolojiyi her ne kadar legal amaçlar için geliştirmiş olsa da hacker’ler, yazılımsal firmware’i modifiye ederek, çok tehlikeli bir USB silah ! yapmayı başardılar.

Şimdi, bu teknolojinin tam olarak nasıl çalıştığına kısaca bir göz atalım:
U3 firması, Microsoft’un standart USB bellekler üzerindeki autorun kısıtlamasını aşmak için tek bir USB cihazda, iki ayrı disk formatı oluşturabilecek bir firmware yaptı.

Bunlardan ilki 5-6 MB kapasiteli, CDFS dosya sistemine sahip, Read-Only (Sadece Okunabilir) Virtual bir CD-ROM, diğeriyse FAT disk sisteminde 1 GB ile 4 GB arasında değişen standart USB bellek.

U3 firması, Mini Virtual CD-ROM bölümüne autorun olarak çalışabilecek, biri exe olmak üzere 3 dosya yerleştirdi. Bu dosyalar, yazılım tabanlı firmware’i oluşturduğu gibi, geri kalan FAT disk üzerinde şifreleme, portable program kurma, otomatik menü açma işlemini de yapan dosyalar.

Doğal olarak yeni sürüm çıktıkça, yazılım tabanlı bu firmware’in güncellenebilmesi için U3update.exe adında bir firmware güncelleyiciyi de sitelerinde yayınladılar.

Hacker’lerin, U3 teknolojili flash disk’in bu donanımsal özelliğini bir hack aracına dönüştürebilmeleri için Virtual CD-ROM’un içindeki dosyaları değiştirebilmeleri gerekiyordu. Ancak, Read-Only CDFS dosyalama sisteminde bunu raw disk editor’ler ile yapmak mümkün olmadığından; U3update.exe’nin orjinal update dosyalarını modifiye edip, U3update.exe aracılığıyla Virtual CD-ROM’a orjinal, yazılımsal firmware dosyaları yerine spyware yerleştirmeyi başardılar ve bunun nasıl yapılacağını da internette yayınladılar.

Bu yöntem sayesinde hacker, istediği herhangi bir makineye USB diskini takıp, çıkarttığı anda spy yükleyebiliyor.

Ancak bu işlemin yapılabilmesi için orjinal U3update.exe dosyasına ihtiyaç olduğundan, şu ana kadar herhangi bir virüs yazarının bunu gerçek bir virüse dönüştürdüğü görülmedi.

Aynı işlemi biz de test laboratuarımızda denedik ve %100 sonuç aldık. Hatta biraz daha ileri gidip, U3update.exe’yi Disassemble ettik ve dosyaları nasıl sadece okunabilir CDFS diskine yazdığını analiz ederek; U3update.exe olmadan, istediğimiz dosyayı, U3 Virtual diskine yazmayı başardık. Biraz karmaşık olsa da, sonuçta bu yapılabildiği için yakın bir tarihte bu yöntemi kullanan virüslerin çıkacağını tahmin ediyoruz. Çünkü U3 teknolojisi çok tutuldu ve hızlı bir şekilde, tüm USB bellek üreticileri de bu teknolojiyi kullanmaya başladı.

Yakın bir tarihte, bu tür bir saldırıdan korunmak için AntiLogger’ın yeni versiyonuna, uyarı tabanlı, sezgisel bir modül eklemeyi plânlıyoruz.



No comments:

Post a Comment